Fondamentalmente stai chiedendo informazioni sulle best practice relative alla gestione degli incidenti, ma essenzialmente come applicabile dopo "hai già gestito l'incidente". Per quanto ne so e sulla base delle domande specifiche che hai presentato, non esiste un approccio cookie cutter per ciò che la tua organizzazione deve fare dopo la fase "lezioni apprese". È davvero una questione di ciò che sei legalmente responsabile o semplicemente di volere / volere fare. Se fosse coinvolta una proprietà intellettuale di valore, allora potenzialmente si aprirà una lattina di vermi. Allo stesso modo ci sono alcune "cose" che richiedono che ti piaccia o meno, contattare le forze dell'ordine. ecc. Penso che tutti abbiano ragione. Caratterizzazione del tipo di incidente (attacchi IP e furto, DoS, malware, e-mail come molestie o phishing, spionaggio, violazioni delle norme come uso non autorizzato, attività illecite, minacce interne da distruttivo non distruttivo a distruttivo intenzionale, ecc.), Determinazione dell'estensione danni e quindi contattare le parti appropriate sono tutte cose che avrebbero dovuto essere fatte durante la fase di contenimento. Ecco una risorsa per aiutarti con detta classificazione; documento di classificazione caso CSIRT
Ora, sembra che tu abbia già passato l'identificazione, il contenimento, l'estirpazione e il recupero e presumo che tu abbia guardato e / o stia guardando attentamente il ritorno dell'attaccante? Quindi andiamo su quello che è generalmente considerato la migliore pratica nella fase 6 della gestione degli incidenti standard "dal libro". Molte organizzazioni / persone "non hanno il tempo" o si preoccupano di affrontare davvero questa fase, ma lascia che sia affrontata, gli aggressori stanno migliorando continuamente, quindi è necessario anche migliorare. È tempo di andare avanti e fare nuovi errori, ma l'intero punto di questo processo è di evitare di ripetere gli stessi vecchi. Quello che dovresti fare ora è documentare cosa è successo e come le funzionalità operative possono essere migliorate in modo da evitare che incidenti simili si ripetano. Un modo per farlo è creare un rapporto di follow-up. Idealmente, si desidera iniziare subito questo rapporto, immediatamente dopo il recupero. L'istituto SANS mette a disposizione alcuni moduli di incidenti utili che puoi utilizzare in questo processo. In genere è buona norma incoraggiare tutte le parti interessate a rivedere la bozza. Una volta che il rapporto è stato rivisto, pianifica una riunione di "lezioni apprese" se puoi. Idealmente, questo incontro dovrebbe avvenire entro una settimana o due dalla ripresa della produzione, mentre gli eventi sono ancora "freschi" nella memoria di tutti. In generale, lo scopo principale dell'incontro è quello di ottenere il consenso sul sommario esecutivo del rapporto sugli incidenti. IMO la chiave del riepilogo esecutivo sta illustrando l'importanza di avere in atto procedure di gestione degli incidenti efficaci.
Guarda anche i "sette peccati capitali" della gestione degli incidenti. Potresti trovarlo utile